瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 兔子跳鸽子飞——“兔宝宝”又出变种

12   1  /  2  页   跳转

兔子跳鸽子飞——“兔宝宝”又出变种

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-14 10:57 | 显示全部 短消息 资料
字号: 1楼

兔子跳鸽子飞——“兔宝宝”又出变种

这个Rabbit.exe文件大小为188K,与其前辈比较,此新变种又精练了些。
除了兔子外,还带了只鸽子进来。

释放的文件(图1)
注册表改动(图2)

如果XP系统用户事先设置了干净的还原点,中了这只兔子后,执行“系统还原”可以搞掂这只带鸽子的兔宝宝(图3、图4是系统还原前后的对比)。

注:执行系统还原前,要用些手段,使IceSword运行起来,灭掉兔子在%windows%和%system%文件夹中创建的病毒文件。
IceSword已经被替换了?下载个干净的呀!放到%system%目录下。


图1

附件附件:

下载次数:496
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-14 10:57:42
描述:
预览信息:EXIF信息



最后编辑2007-05-18 14:39:13
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-14 10:58 | 显示全部 短消息 资料
字号: 2楼

图2

附件附件:

下载次数:443
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-14 10:58:02
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-14 10:58 | 显示全部 短消息 资料
字号: 3楼

图3

附件附件:

下载次数:518
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-14 10:58:20
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-14 10:58 | 显示全部 短消息 资料
字号: 4楼

图4

附件附件:

下载次数:521
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-14 10:58:57
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-14 13:53 | 显示全部 短消息 资料
字号: 5楼

引用:
【gtkx的贴子】随便问问猫叔,系统还原文件夹不会被兔宝宝感染吗?
………………

至少,目前所有的这三个变种不会感染系统还原文件夹。

我基本不用系统还原(所有分区的系统还原统统关闭了)。

玩儿兔宝宝,只是临时尝试一下系统还原。希望为别人提供一种收拾残局的可能选择。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-14 13:54 | 显示全部 短消息 资料
字号: 6楼

引用:
【gtkx的贴子】
更改扩展名用ghost能打开吗?
………………

这只兔子没删.gho备份
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-14 13:57 | 显示全部 短消息 资料
字号: 7楼

引用:
【gtkx的贴子】造毒的不是已经不造了吗?下载链接也被他删了
………………

他那个链接公开了5天。
下载样本的人————多了去了。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-14 14:05 | 显示全部 短消息 资料
字号: 8楼

引用:
【天月来了的贴子】gtkx     


猫猫有个关于熊猫时的SSM详细的贴,你看到过吗?

他用的注册版本的。过于复杂了。

你就用官方的那个免费的吧。

都是中文的。自己对照猫猫的贴,能摸索出来的。

http://forum.ikaka.com/topic.asp?board=28&artid=8263966

………………

我的SSM是收费版。

使了点儿小伎俩,就能长期用。具体的————在这里不能讲。
自己搜吧。这类帖子多极了。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-14 14:15 | 显示全部 短消息 资料
字号: 9楼

引用:
【gtkx的贴子】
newcenturymoon说这兔子删了备份,可能不是这个变种
………………

我的实机运行结果————硬盘中的.GHO完好无损。

即使删除了硬盘中的.GHO,也没什么。我还有光盘的.GHO。

哪个病毒能删我只读光盘中的.GHO————我算它NB!!

附件附件:

下载次数:274
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-14 14:15:57
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-14 15:34 | 显示全部 短消息 资料
字号: 10楼

引用:
【新版小欧的贴子】汗~~~要想个法子搞定才行,再这样更新下去,那可不是好事~~~~
………………

想起了电影“地道战”里的一句台词:各庄都有很多高招......

办法,总是有的。预防为主。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT